Scénario #18722: Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm) - eole-cntlm - Ensemble Ouvert Libre Évolutif

Scénario #18722

Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm)

Ajouté par Daniel Dehennin il y a environ 7 ans. Mis à jour il y a environ 7 ans.

Statut:

Terminé (Sprint)

Priorité:

Normal

Assigné à:

force indigo

Catégorie:

Version cible:

Distribution EOLE - sprint 2017 13-15 Equipe MENSR

Début:

21/02/2017

Echéance:

14/04/2017

% réalisé:

100%

Temps estimé:

(Total: 4.75 h)

Temps passé:

(Total: 5.80 h)

Points de scénarios:

1.0

Restant à faire (heures):

0.00 heure

Estimation basée sur la vélocité:

Release:

EOLE 2.6.1

Liens avec la release:

Auto

Description

Problème¶

Sur le proxy 1 carte, le passage par cNTLM est non fonctionnel pour les sites exclus du cache et/ou de l’authentification ne s’affiche pas.

Le navigateur obtient une réponse la connexion a été réinitialisée.

Le problème n’est pas reproductible sur la cible etb1.

Proposition¶

Aucune idée

Sous-tâches

Historique

#1 Mis à jour par Daniel Dehennin il y a environ 7 ans

Description mis à jour (diff)

#2 Mis à jour par Ludovic Landucci il y a environ 7 ans

Bonjour,

Sur un Amon 2.4.2 on reproduit également le problème. Qu'il s'agisse de site http / https. Un ouvre.firewall ne change rien.

Aucun problème en passant directement par dansguardian sur 3128.

Pour le site https://webmail.ac-dijon.fr
Lorsqu'il est exclu de l'authentification :
Jan 26 12:04:34 pf24-0710025s (squid): 1485428674.923 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:34 pf24-0710025s (squid): 1485428674.989 64 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.053 63 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.118 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.431 311 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.682 248 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.746 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.816 68 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.880 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:04:35 pf24-0710025s (squid): 1485428675.945 62 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -

Lorsque le site webmail.ac-dijon.fr est supprimé des exclusions d'authentif :
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.786 30439 10.171.142.1 TCP_MISS/200 85636 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.786 30439 10.171.142.1 TCP_MISS/200 106446 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:05:38 pf24-0710025s (squid): 1485428738.787 31448 10.171.142.1 TCP_MISS/200 168072 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -

Pour info, j'ai laissé le site exclu du cache. Je pense que le problème ne se pose que lorsque le site est exclu de l'authentification.
On a constaté exactement la même chose avec le site http://perdu.com

On continue les tests ...

#3 Mis à jour par Ludovic Landucci il y a environ 7 ans

Bon, j'ai testé avec la version cntlm d'un Amon 2.3 et je n'ai plus le problème ! ! !

md5sum de cntlm d'un amon 2.4 : cdbfa65dfdefd7ec66e8a17561c24bf1
md5sum de cntlm d'un amon 2.3 : b5b52929641dc2f6ccc7d6e0050c7267

Avec le site exclu :
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 17310 10.171.142.1 TCP_MISS/200 190578 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 18582 10.171.142.1 TCP_MISS/200 168072 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.756 17311 10.171.142.1 TCP_MISS/200 1259 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:58 pf24-0710025s (squid): 1485429838.825 66 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:59 pf24-0710025s (squid): 1485429839.396 89 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -
Jan 26 12:23:59 pf24-0710025s (squid): 1485429839.396 88 10.171.142.1 TCP_MISS/200 0 CONNECT webmail.ac-dijon.fr:443 - DIRECT/195.221.236.109 -

Sans le site exclu de l'authentif :
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.309 52863 10.171.142.1 TCP_MISS/200 192487 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.310 52865 10.171.142.1 TCP_MISS/200 1259 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -
Jan 26 12:26:12 pf24-0710025s (squid): 1485429972.310 53286 10.171.142.1 TCP_MISS/200 161752 CONNECT webmail.ac-dijon.fr:443 eleve0 DIRECT/195.221.236.109 -

#4 Mis à jour par Scrum Master il y a environ 7 ans

Tracker changé de Proposition Scénario à Scénario

#5 Mis à jour par Joël Cuissinat il y a environ 7 ans

Echéance mis à 24/03/2017
Version cible mis à sprint 2017 10-12 Equipe MENSR
Début mis à 06/03/2017
Release mis à EOLE 2.6.1

#6 Mis à jour par Joël Cuissinat il y a environ 7 ans

Points de scénarios mis à 2.0

#7 Mis à jour par Joël Cuissinat il y a environ 7 ans

Version cible changé de sprint 2017 10-12 Equipe MENSR à sprint 2017 13-15 Equipe MENSR

#8 Mis à jour par Joël Cuissinat il y a environ 7 ans

Assigné à mis à force indigo

#9 Mis à jour par Joël Cuissinat il y a environ 7 ans

Points de scénarios changé de 2.0 à 3.0

#10 Mis à jour par Scrum Master il y a environ 7 ans

Points de scénarios changé de 3.0 à 1.0

Rédiger une notice

Voir E Garette

#11 Mis à jour par Joël Cuissinat il y a environ 7 ans

Sujet changé de Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher à Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher (Cntlm)

Si l'utilisation du proxy Cntlm est forcée dans le navigateur alors les domaines de destination bénéficiant d'une exception d'authentification ne sont plus accessibles (avec Firefox, message d'erreur : La correction a été réinitialisée).
En effet, le proxy Cntlm envoie obligatoirement une requête d'authentification à son proxy parent pour tous les sites visités mais si le site n'en requiert pas ce dernier ne joue pas l'authentification et la requête échoue.
Sur les modules EOLE, WPAD est configuré pour rediriger les sites exclus de l'authentification directement vers le proxy et non vers Cntlm.
L'utilisation de WPAD est donc la solution recommandée pour que l'authentification Cntlm soit pleinement fonctionnelle, y compris en mode 1 carte.

#12 Mis à jour par Joël Cuissinat il y a environ 7 ans

Sujet changé de Proxy 1 carte: les sites exclus du cache et/ou de l’authentification doivent s’afficher (Cntlm) à Proxy 1 carte: les sites exclus de l’authentification doivent s’afficher (Cntlm)

#13 Mis à jour par Fabrice Barconnière il y a environ 7 ans

Statut changé de Nouveau à Terminé (Sprint)

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE » Services » eole-proxy » eole-cntlm

Demandes

Rapports personnalisés